이해민 국회의원
@ok_haiminl
·
13시간
<쿠팡은 기본도 안 되는 보안으로 ‘대문’ 활짝 열어두고, 뒤로는 “한국 정부 탄압”이라며 미국 정부에 로비하기 바빴습니까>
정부는 이번 쿠팡 해킹 사태를 “국내 최대 전자상거래 플랫폼 침해사고”로 규정했습니다.
1억 4천 번의 정보 조회, 3,367만 건의 개인정보 유출.
‘최대’에는 그에 걸맞는 강력 수사와 책임 규명이 뒤따라야 합니다.
쿠팡은 애초에 위조된 출입증을 구별할 능력도 없었습니다.
공격자가 위·변조한 ‘전자 출입증’을 들이밀었을 때, 쿠팡은 이를 검증도 하지 않고 프리패스 시켰습니다.
도둑이 가짜 신분증 목에 걸고 들어오는데 “어서 오십시오”한겁니다.
심지어 도둑에게 마스터키를 쥐어주고는 방치하고 있었습니다.
공격자는 다름 아닌 퇴사한 쿠팡의 ‘이용자 인증 시스템’ 개발자였습니다.
직원이 퇴사했다면, 그가 사용하던 서명키를 즉시 폐기하고 갱신하는 건 보안의 기본 중 기본입니다.
쿠팡이 받았다고 자랑하는 정부인증인 ‘ISMS-P’ 기준에도 당연히 있는 내용입니다.
또한 국회에서 제기되었던 서명키 부실관리 의혹도 조사를 통해 사실로 확인되었습니다.
서명키는 ‘키관리 시스템’에만 보관되어야 하는데, 현직 개발자 노트북에서 서명키가 저장되어 있었던 것입니다.
이정도면 이용자정보 관리 손놓고 있었다고 해도 과언이 아닙니다.
더 충격적인 것은 쿠팡이 증거 인멸까지 저질렀다는 것입니다.
정부가 사고 원인 분석을 위해 자료 보전을 명령했음에도,
쿠팡은 이를 어기고 웹 접속기록 5개월 치와 앱 접속기록까지 삭제했습니다.
이것이 김범석 의장이 주장하는 ‘글로벌 IT기업’다운 자세입니까?
‘개발자 실수’. 우연치고는 너무나 작위적이고, 해명치고는 지나치게 군색합니다.
이는 명백한 정부 조사 방해이자, 진상 규명을 가로막는 증거 인멸입니다.
이러한 증거 인멸이 기업 사이에 유행처럼 번지고 있는데,
쿠팡마저 접속 로그를 삭제하며 ‘침해사고 대응은 삭제와 은폐가 대세’라는 공식을 완성시킨 겁니다.
이런 짓을 저질러놓고, 쿠팡은 뒤에서 무엇을 했습니까?
자신들의 무능과 불법을 감추기 위해, “한국 정부가 죄 없는 미국 기업을 탄압한다”는 프레임을 만들어 미국 정부와 의회에 로비하고 다니지 않았습니까?
해킹 피해 복구를 위해 적극 노력하면 기업도 ‘도움이 필요한 피해자’이지만,
증거를 숨기고 국민을 속인다면 명백한 ‘가해자’입니다.
‘가해자’ 쿠팡에 대한 강력 수사와 신속 규명을 촉구합니다.
댓글 없음:
댓글 쓰기
참고: 블로그의 회원만 댓글을 작성할 수 있습니다.